一月漏洞信息简报

本文根据CNVD和CISA官网和互联网公开数据整理，时间范围为2025年1月。

1、一月新添加14个漏洞到KEV目录，其中CVE-2024-55591和CVE-2025-0282两个漏洞被要求限期1周内修复，其余漏洞均要求限期3周内修复。

漏洞编号CVE-2024-50603，CVSS评分10，未认证的攻击者可借此执行任意代码，漏洞产生的原因是用户提供的输入未被正确处理，影响了Aviatrix Controller 7.1.4191之前的所有版本以及7.2.x系列中7.2.4996之前的版本，目前已发布修复补丁，应尽快更新。

漏洞编号CVE-2025-0070 和 CVE-2025-0066，CVSS评分9.9，两个漏洞攻击复杂度低且无需用户交互，其中CVE-2025-0070 存在认证不当漏洞，可致权限提升；CVE-2025-0066 源于弱访问控制，可能泄露受限信息。目前SAP尚未发布补丁，建议用户实施强访问控制、监控认证尝试等缓解措施。

漏洞编号CVE-2020-2883 ，CVSS评分9.8，该漏洞允许未经认证且通过网络访问(通过IIOP或T3协议)的攻击者在服务帐户的上下文中执行代码，从而危及/接管易受攻击的Oracle WebLogic Server。该漏洞是对CVE-2020-2555补丁的绕过，虽然已于2020年4月修复，但CISA确认该漏洞存在在野利用，因为将其添加到KEV目录，并要求相关部门在3周内修复。

漏洞编号CVE-2025-21298，CVSS评分9.8，允许攻击者通过特制的电子邮件在 Windows 设备上执行 RCE，从而构成重大的电子邮件安全风险，目前微软已于1月17日发布修复补丁。

漏洞编号CVE-2025-21311，CVSS评分9.8，攻击者可通过向目标系统发送特制的网络请求，绕过身份验证机制，进而将权限提升至系统级别，目前微软已于1月17日发布修复补丁。

漏洞编号CVE-2025-21307，CVSS评分9.8，攻击者可通过向目标系统的PGM端口发送特制数据包，触发漏洞，实现远程代码执行，目前微软已于1月17日发布修复补丁。

漏洞编号CVE-2024-49112，CVSS评分9.8，漏洞源于LDAP代码整数溢出，攻击者能发送特制RPC调用，以此利用该漏洞，致使服务器崩溃或执行代码，漏洞已于2024年12月10日修复，安全研究人员于1月发布了针对该漏洞的PoC，企业应立即采取行动，可借助 PoC 工具检测自身防御能力，并及时更新补丁。

漏洞编号CVE-2025-21613，CVSS评分9.8，攻击者可利用该漏洞修改git-upload-pack命令的标志，源于go-git库在使用文件传输协议时，未能正确处理或验证通过URL字段传入的输入，影响go-git 4.0.0至5.13.0之间的多个版本，目前已发布修复补丁。

漏洞编号CVE-2024-55591，CVSS评分9.6，未认证的远程攻击者可通过向 Node.js WebSocket 模块发送精心构造的请求获得超级管理员权限，影响FortiOS（7.0.0至7.0.16版本）和FortiProxy（7.0.0至7.0.19及7.2.0至7.2.12版本），并且有报告指出此漏洞正在被野外利用。

漏洞编号CVE-2025-0282，CVSS评分9，该漏洞允许未经验证的远程代码执行，影响了22.7R2.5之前的Ivanti Connect Secure版本,目前已发布修复补丁，受影响用户可升级到最新的22.7R2.5。